SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Sicherheitslücken in n8n ermöglichten Server-Übernahme

Kritische Sicherheitslücken in n8n ermöglichten Server-Übernahme
Zusammenfassung

Die Workflow-Automatisierungsplattform n8n war von zwei kritischen Sicherheitslücken betroffen, die es Angreifern ermöglichten, Server vollständig zu übernehmen. Die als CVE-2026-27493 und CVE-2026-27577 registrierten Schwachstellen ermöglichten unauthentifizierten Angreifern die Ausführung beliebigen Codes sowie das Durchbrechen von Sandbox-Schutzmaßnahmen. Besonders kritisch ist, dass n8n als Credential-Verwaltungssystem fungiert und Zugangsschlüssel zu sämtlichen verbundenen Systemen speichert – einschließlich AWS-Schlüssel, Passwörter, OAuth-Token und API-Keys. Die erste Lücke basierte auf einer Expression-Injection-Schwachstelle in den Form-Nodes, die eine doppelte Evaluierung von Nutzer-Eingaben verursachte, während die zweite Lücke die Sandbox-Umgebung kompromittierte. Besonders besorgniserregend ist, dass die Form-Endpunkte standardmäßig aus dem Internet erreichbar sind und somit einfach exploitierbar waren. Für Cloud-Deployments und Multi-Tenant-Umgebungen bedeutete dies ein erhebliches Sicherheitsrisiko mit potenziellen Cross-Tenant-Angriffen. n8n behob beide Anfälligkeit im Februar in den Versionen 2.10.1, 2.9.3 und 1.123.22. Deutsche Unternehmen und Behörden, die n8n nutzen, sollten ihre Systeme dringend aktualisieren.

Die beiden kritischen Schwachstellen in n8n zeigen die Risiken bei der Verwendung von Expression-Evaluation und Sandbox-Mechanismen in Automatisierungsplattformen. Die erste Lücke, katalogisiert als CVE-2026-27493 mit einem CVSS-Wert von 9,5, betrifft die Form-Nodes der Plattform und wurde als “Second-Order Expression Injection” klassifiziert.

Angreifer konnten durch diese Schwachstelle arbitrary Commands in das Namensfeld von Formularen injizieren und die Ausgabe der ausgeführten Befehle direkt erhalten. Das Kernproblem lag in n8ns Verfahren zur doppelten Expression-Evaluation: Der Payload eines Angreifers wurde in der zweiten Evaluationsphase erneut als Expression interpretiert, was die Ausführung ermöglichte. Besonders kritisch war die fehlende Authentifizierung – die Form-Endpoints sind absichtlich aus dem Internet erreichbar, wodurch jeder mit einer einfachen GET-Anfrage die Sicherheitslücke ausnutzen konnte.

Die zweite Schwachstelle (CVE-2026-27577, CVSS 9,4) betraf die Sandbox-Escapes und konnte mit der ersten Lücke verketteter werden. Sie ermöglichte es Angreifern, Sandbox-Schutzmaßnahmen zu umgehen, da der vulnerable Node auf der Compilation-Ebene operierte – vor den Runtime-Sanitizern. Dies war entscheidend für einen vollständigen System-Kompromiss.

Die Sicherheitsimplikationen sind erheblich: n8n fungiert als Credential-Tresor und speichert Zugangsschlüssel für alle verbundenen Systeme. Ein erfolgreicher Exploit hätte Zugriff auf AWS-Keys, Passwörter, OAuth-Tokens und API-Schlüssel gewährt. Bei n8n Cloud und Multi-Tenant-Deployments potenziert sich die Gefahr zusätzlich: Ein sandbox-escape könnte Zugriff auf gemeinsame Infrastruktur gewähren und Cross-Tenant-Risiken schaffen – ein öffentliches Formular eines Tenants könnte als Eintrittspunkt für andere Mandanten dienen.

n8n reagierte schnell: In den Versionen 2.10.1, 2.9.3 und 1.123.22 (veröffentlicht Ende Februar) wurden die Patches implementiert. Die Maßnahmen umfassten die Entfernung der zweiten Expression-Evaluationsphase, das Blockieren bestimmter Parameter, die Erweiterung der Sandbox-Blocked-Identifier-Liste und eine Härtung der AST-aware Identifier-Analyse.

Für deutsche Unternehmen ist sofortige Handlung erforderlich: Alle n8n-Installationen sollten auf die gepatchten Versionen aktualisiert werden. Besonders kritisch ist dies für Organisationen, die n8n mit sensitiven Daten oder zur Integration in wichtige Geschäftsprozesse einsetzen.

Ähnliche Artikel